返回列表

关于v2ex.com的HSTS研究

默认分类 2018/02/28 05:31

事情经过:

  1. 研究v2ex.com时发现不能通过etc\hosts在本地映射查看,总是会强制跳到https
  2. 第一反应应该改在代码中写了强制跳转的逻辑,看了下JS代码,确实有一段强制跳https的代码,去掉后发现还是会跳
  3. 于是尝试改成其他域名abc.com,发现不再强制跳转
  4. 猜测可能是网站做了什么设置,查了下stackoverflow的资料,发现和HSTS有关
  5. 打开 chrome://net-internals/#hsts 一查,果然 v2ex.com 在列
  6. 按照操作步骤,尝试 Delete domain, 发现无效
  7. 纳闷Delete为啥不起作用,仔细看了下描述 Delete domain security policies: Input a domain name to delete its dynamic domain security policies (HSTS, HPKP, and Expect-CT). (you cannot delete preloaded entries):
  8. 难道 v2ex.com 被chrome preloaded 了???
  9. 找了个网站 https://hstspreload.org/?domain=v2ex.com 查了一下, 果然在列
  10. 看了下 https://chromium.googlesource.com/chromium/src/net/+/master/http/transport_security_state_static.json 也再次确证了上述猜测
  11. 不得不说 v2ex.com 的安全性做得很赞。 另:上次写蜘蛛用v2ex.com练手时发现根本抓不了v2ex.com,强~